1

iptables を使用して DNAT ターゲットを設定したいと考えています。マルチポート仮想サーバーは、私がやりたい目的です。しかし、DNAT はマルチポートを宛先マルチポートにマッピングできないことがわかりました。例えば

iptables -t nat -A PREROUTING -p tcp --dport 1000:2000 -j DNAT --to-destination 192.168.1.100:3000-4000

このルールは 1000 ------> 3000 1001 ------> 3001 であるべきだと思います .......................... . 2000 ------> 4000

whireshark を使用してパケットをキャプチャしようとしました。元のパケットが 1000、1001、2000 などであっても、ポート 3000 のみに変換されるようです。これは、多くのポートを 1 つのポートにのみマッピングする iptables に配線されています。

アドバイスはありますか?

ありがとう。

4

1 に答える 1

1

iptables-extensionsの man ページには、カーネル2.6.11-rc1以降では複数の宛先ポートの指定がサポートされていないと

2.6.10までのカーネルでは、いくつかのオプションを追加でき--to-destinationます。これらのカーネルでは、アドレス範囲または複数の--to-destinationオプションを介して複数の宛先アドレスを指定すると、これらのアドレス間で単純なラウンドロビン (サイクル内で 1 つずつ) 負荷分散が行われます。後のカーネル (>= 2.6.11-rc1 ) には、複数の範囲に NAT する機能がありません。

于 2016-04-05T13:16:08.177 に答える